[doc. web n. 4367555]
Trattamento di dati personali nell’ambito del “Processo di rilascio con riconoscimento a mezzo webcam” per firma elettronica qualificata o digitale. Verifica preliminare – 24 settembre 2015
Registro dei provvedimenti
n. 491 del 24 settembre 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lgs. 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali” (di seguito “Codice”);
VISTO il d.lgs. 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale”;
VISTO il d.P.C.M. 22 febbraio 2013, recante le “Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71”;
VISTO il provvedimento del Garante dell’8 aprile 2010 (doc. web n. 1712680);
VISTO il provvedimento del Garante del 12 novembre 2014, come modificato dal provvedimento del 15 gennaio 2015 (docc. web nn. 3556992 e 3701432);
VISTA la richiesta di interpello presentata da InfoCert s.p.a. ai sensi dell’art. 17 del Codice e le successive comunicazioni inviate dalla Società;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
PREMESSO
1. L’interpello della Società.
InfoCert s.p.a., in data 19 giugno 2013, ha presentato un interpello ai sensi dell’art. 17, comma 2, del Codice, richiedendo all’Autorità apposita autorizzazione al trattamento dei dati personali nell’ambito del “Processo di rilascio con riconoscimento a mezzo webcam” per firma elettronica qualificata o digitale.
Nello specifico, la Società, nell’ambito delle procedure previste per il riconoscimento del soggetto che richiede il rilascio di un certificato qualificato di firma digitale (c.d. richiedente), ha predisposto una nuova modalità che contempla una sessione audio/video.
La Società, in particolare, attraverso l’intervento da computer remoto di un incaricato alla registrazione, procederebbe all’identificazione del richiedente mediante riconoscimento a distanza a mezzo webcam, nell’ambito appunto di una sessione audio/video.
InfoCert s.p.a., società specializzata nei servizi di certificazione digitale e di posta elettronica certificata, è una delle “Certification Authority” italiane per i servizi di firma digitale ed è iscritta, ai sensi dell’art. 29 del d.lgs. n. 82 del 2005, Codice dell’amministrazione digitale (C.A.D.) e dell’art. 14 D.P.R. n. 68 del 2005, negli appositi elenchi tenuti dall’Agenzia per l’Italia Digitale.
Relativamente all’attività di rilascio di certificati digitali per le firme elettroniche, la Società, in qualità di certificatore accreditato ai sensi dell’art. 29 del C.A.D., ha ottenuto da parte dell’Agenzia per l’Italia Digitale il riconoscimento del possesso dei requisiti del livello più elevato in termini di qualità e di sicurezza (di cui agli artt. 27 e 29 del C.A.D.).
Ad avviso della Società, la registrazione e la conservazione dei dati audio/video raccolti mediante la procedura proposta consentirebbe di ottenere una evidenza periziabile della volontà di un soggetto (titolare del certificato) a richiedere il certificato e della sua identità, contemperando l’esigenza di una identificazione certa e sicura (come richiesto dal legislatore) con una modalità innovativa e agevole di riconoscimento da remoto (come richiesto sempre più frequentemente dall’utenza).
A corredo dell’istanza, la Società ha presentato una copiosa documentazione, tra cui il Manuale Operativo – già depositato presso l’Agenzia per l’Italia Digitale, ai sensi dell’art. 40, d.P.C.M 22 febbraio 2013, e pubblicato a cura dell’Agenzia sul proprio sito istituzionale – che delinea le caratteristiche tecniche del servizio e il correlato trattamento di dati personali che a tal fine intende svolgere.
2. La procedura di riconoscimento proposta
La procedura proposta da InfoCert s.p.a. (formalizzata al punto 4.1.2.5. del sopracitato Manuale Operativo) consta di varie fasi.
Durante la fase di avvio e di richiesta del certificato il richiedente si collega al portale della Certification Authority InfoCert alla pagina dedicata al rilascio del certificato, utilizzando il protocollo HTTPS per l’autenticazione del server e la cifratura del canale di comunicazione.
Prima della sessione audio/video al richiedente viene proposto un modulo elettronico da compilare con i propri dati anagrafici, l’indicazione di un numero di telefono cellulare e di un indirizzo di posta elettronica. L’operatore InfoCert provvede a fornire l’informativa sul trattamento dei dati, ai sensi dell’art. 13, d.lgs. n. 196 del 2003 e dell’art. 32, comma 5 del C.A.D., comunicando anche al richiedente che la sessione audio/video sarà registrata.
Il richiedente è invitato ad autorizzare il trattamento dei propri dati personali e biometrici finalizzato al riconoscimento e alla registrazione della sessione audio/video per la successiva conservazione della stessa.
In caso di non accettazione, il richiedente è informato che per il riconoscimento dovrà provvedere con le modalità alternative offerte dal portale.
Durante la sessione audio/video il richiedente viene riconosciuto a distanza dall’operatore di InfoCert, esibendo un documento di identità e il codice fiscale dei quali vengono scattate due fotografie fronte/retro.
Vengono poi scattate una o più fotografie del volto del richiedente e selezionata la più nitida. Contestualmente alla ripresa del richiedente tramite webcam viene effettuata la registrazione della voce dell’interessato.
Al termine della sessione audio/video il richiedente appone su un foglio bianco la propria firma autografa al fine di consentirne il confronto con quella presente sul documento di identità. Seguono poi altre verifiche che consistono nel confrontare i dati ottenuti con quelli disponibili su database accessibili dalla Certification Authority (in particolare si verifica l’esistenza della persona fisica in corrispondenza del codice fiscale fornito dall’utente in fase di richiesta).
In caso di verifiche negative la procedura viene conclusa e i dati cancellati.
In caso di verifiche positive al richiedente viene inviato a mezzo e-mail l’indirizzo in notazione Url dell’apposita pagina per effettuare il pagamento mediante carta di credito. Una volta eseguito il pagamento il sistema invia all’indirizzo e-mail dell’utente un documento PDF cifrato contenente una User Id, un Pin di accesso e un codice Erc (codice di emergenza) che costituiscono lo strumento di autenticazione nel sistema di comunicazione sicuro tra certificatore e richiedente.
Il richiedente si collega al portale InfoCert per selezionare le clausole contrattuali e riceve dal sistema una password di sessione (OTP one time password) per la attivazione del certificato e la sottoscrizione del contratto e, a seguire, inserisce il Pin di accesso, l’OTP e il Pin di firma (scelto contestualmente al primo inserimento), e il sistema procede così alla generazione del certificato di firma digitale remota.
2 bis. L’iter del procedimento.
L’esame dell’istanza proposta dalla Società ha dato luogo ad una istruttoria complessa che ha visto a più riprese contatti e incontri sia con il soggetto istante sia con i competenti uffici dell’Agenzia per l’Italia Digitale (ved. in particolare nota di InfoCert del 13 giugno 2014 e e-mail di Agid del 5 dicembre 2014) che hanno permesso di inquadrare meglio la fattispecie sottoposta all’esame del Garante e superare il parziale diniego inizialmente espresso dall’Ufficio con la nota del 13 novembre 2013.
3. Le valutazioni dell’Autorità.
3.1. La verifica preliminare presentata all’Autorità ha ad oggetto un trattamento di dati personali relativo alla raccolta, registrazione, conservazione e utilizzo di immagini e suoni, nell’ambito della procedura di identificazione con riconoscimento a mezzo webcam dei soggetti richiedenti il certificato digitale.
La procedura proposta è dunque riconducibile nell’ambito di applicazione della disciplina in materia di protezione dei dati personali.
Occorre, pertanto, valutare se la modalità di riconoscimento in esame possa reputarsi conforme alla disciplina del Codice, con particolare riferimento ai principi di necessità, liceità, finalità e proporzionalità (artt. 3 e 11, d.lgs. n. 196 del 2003).
3.2. A fronte della documentazione prodotta e delle dichiarazioni rese, il trattamento dei dati biometrici che la Società istante intende effettuare risulta lecito.
Occorre, infatti, sottolineare, che l’attività di rilascio di certificati digitali è disciplinata dal C.A.D. e dalle relative regole tecniche di cui al d.P.C.M. 22 febbraio 2013 che, oltre a indicare i requisiti e le caratteristiche degli strumenti di generazione delle firme elettroniche e dei relativi certificati, prevedono una serie di adempimenti volti a garantire la sicurezza dell’infrastruttura informatica e del sistema di gestione dei dati trattati dal certificatore.
In particolare, ai sensi dell’art. 32, comma 3, lett. a) del C.A.D., il “certificatore” che rilasci, ai sensi dell’articolo 19, certificati “qualificati”, è tenuto a “provvedere con certezza alla identificazione della persona che fa richiesta della certificazione”; analogo obbligo di identificazione, inoltre, è previsto all’art. 11, comma 7 del D.P.C.M 22 febbraio 2013, secondo cui “il certificatore adotta, nel processo di personalizzazione del dispositivo sicuro per la generazione delle firme elettroniche qualificate o digitali, procedure atte ad identificare il titolare del dispositivo medesimo e dei certificati in esso contenuti”.
Inoltre, con riferimento alla complessa attività del certificatore e alle responsabilità derivanti dalla stessa, l’art. 30 del C.A.D. stabilisce che il certificatore – essendo tenuto a garantire al pubblico l’affidabilità del certificato che rilascia – è responsabile, se non prova d’aver agito senza colpa o dolo, del danno cagionato a chi abbia fatto ragionevole affidamento – tra l’altro – sull’adempimento degli obblighi a suo carico previsti dal citato art. 32; il 4° comma dello stesso art. 32 prevede, inoltre, che “il certificatore è responsabile dell’identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi”.
Per di più, sui certificatori qualificati l’Agenzia per l’Italia Digitale svolge attività di sorveglianza, ai sensi dell’art. 31 del C.A.D., disponendo dei poteri sanzionatori previsti dall’art. 32 bis del C.A.D. in caso di malfunzionamenti dei sistemi dei certificatori che determinino un disservizio.
In proposito, la stessa Agenzia ha dichiarato all’Autorità (con nota del 5 dicembre 2014) di aver autorizzato l’utilizzo di questo tipo di procedura (a condizione che l’intera sessione audio/video sia conservata per il periodo previsto dalla normativa vigente in materia) e che, nell’autorizzare le modalità di verifica dell’identità personale dei soggetti richiedenti la firma digitale, è fondamentale che le procedure in questione consentano di verificare l’identità personale dei richiedenti con adeguata affidabilità e garantiscano la disponibilità di elementi idonei a tutelare eventuali vittime di furto di identità.
Inoltre, il descritto trattamento dei dati dei richiedenti, avvenendo sulla base del libero consenso degli interessati e per il perseguimento di legittime finalità rese preventivamente note a questi ultimi (artt. 13 e 23 del Codice), soddisfa anche i requisiti di cui all’art. 11, comma 1, lett. b), del Codice.
3.3. La procedura di identificazione proposta dalla società, comportando la ripresa audiovisiva del volto e della voce dell’interessato, deve essere valutata anche alla luce dei principi di necessità e di proporzionalità (artt. 3 e 11,comma d) del Codice).
Al riguardo, il servizio descritto risulta preordinato all’acquisizione dei soli dati pertinenti rispetto alla finalità di autenticazione degli interessati. In particolare, la ripresa audiovisiva del volto dell’interessato, l’acquisizione e la conservazione della relativa foto (cui deve aggiungersi anche l’immagine dell’interessato riportata sul documento di riconoscimento esibito, a sua volta fotografato fronte/retro) e la contestuale registrazione della voce, rendendo maggiormente affidabile la verifica dell’identità personale dei richiedenti, comporta un trattamento di dati personali che deve ritenersi pertinente e proporzionato rispetto alla finalità di identificazione degli interessati.
Inoltre, il trattamento dei dati, quale procedura di identificazione del richiedente il certificato digitale, è necessario al fine della stipulazione del contratto di registrazione e certificazione tra InfoCert, quale ente certificatore, e l’interessato, a fronte di un obbligo imposto dalla legge al certificatore relativo alla identificazione certa del richiedente il certificato digitale.
3.4. Sotto il profilo della sicurezza dei dati trattati, occorre, infine, rilevare che la procedura è posta in essere nell’osservanza di quanto previsto dalla normativa vigente in materia di qualità e sicurezza delle informazioni e prevede l’adozione delle misure tecniche a tutela dei dati personali del richiedente.
Il sistema proposto prevede, infatti, che:
• l’intera transazione dal riconoscimento tramite webcam e fino all’attivazione del certificato e firma del contratto avvenga on line su canale protetto https;
• venga effettuata la registrazione dei log e della sessione di chat, della conversazione audio/video, degli eventi, delle azioni, dell’indirizzo Ip dell’interessato, delle immagini statiche e in movimento riprese e delle informazioni relative alla sessione (come la risoluzione video utilizzata nella postazione del richiedente);
• in caso di conclusione negativa del riconoscimento, vengano cancellati tutti i dati acquisiti (immagini, audio, video, testo);
• in caso di conclusione positiva, sia effettuato il salvataggio di tutti i dati acquisiti (immagini, audio, video, testo) in forma protetta tramite cifratura in un sistema di conservazione realizzato in ossequio alle disposizioni del C.A.D. e, in particolare, delle regole tecniche di cui all’art. 71;
• decorso il periodo di venti anni, ai sensi dell’art 32, comma 3, lett. j) del C.A.D. i dati memorizzati siano automaticamente cancellati.
4. Ulteriori adempimenti.
4.1. Preso atto del trattamento che la Società istante intende svolgere, si ritiene comunque opportuno, prescrivere, ai sensi dell’art. 17 del Codice, le seguenti ulteriori misure a garanzia degli interessati.
Ferma restando la necessità di attenersi scrupolosamente alle finalità e modalità di trattamento indicate, il titolare del trattamento dovrà esplicitare nell’informativa da fornire ai richiedenti, ai sensi dell’art. 13 del Codice, le modalità di riconoscimento alternative individuate al punto 4.1.2. del citato Manuale Operativo.
In particolare, con riferimento ai termini di conservazione dei dati l’art. 32, comma 3, lett. j) del C.A.D. impone al certificatore di tenere registrazione anche elettronica, per almeno 20 anni delle informazioni relative al certificato qualificato dal momento dell’emissione, al fine di fornire altresì prova della certificazione in eventuali procedimenti giudiziari. Pertanto, i dati personali dei richiedenti, unitamente alle immagini e i suoni raccolti mediante la procedura di riconoscimento a mezzo webcam, saranno conservati da InfoCert per tale periodo di tempo.
Condividendo le proposte già avanzate dalla Società, si ritiene opportuno che InfoCert, per maggiore tutela e sicurezza dei dati, predisponga idonee misure di cifratura per tutti i documenti e i file audio/video inviati in conservazione e garantisca che la registrazione del flusso audio/video sia limitata alla esibizione del documento di identità e all’interazione con l’operatore nella parte in cui viene documentata la reale volontà del richiedente di ottenere un certificato di firma digitale, al fine di renderla strettamente correlata alle esigenze di riconoscimento e di documentazione previste dalla normativa di settore.
Resta, infine, inteso che i dati dei richiedenti non potranno essere utilizzati in operazioni di trattamento non compatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice) e che l’accesso alle registrazioni potrà avvenire solo nel caso in cui siano sollevate contestazioni riguardo alla procedura di identificazione osservata ovvero a fronte di apposita richiesta da parte dell’autorità giudiziaria.
3.2. Altri soggetti certificatori che, in qualità di titolari, intendessero effettuare un analogo trattamento di dati, in conformità a quanto indicato nel presente provvedimento, non sono tenuti a presentare una nuova richiesta di interpello a questa Autorità.
TUTTO CIÒ PREMESSO, IL GARANTE
Esaminata la richiesta di verifica preliminare presentata da InfoCert s.p.a., autorizza il trattamento dei dati personali nell’ambito del “Processo di rilascio con riconoscimento a mezzo webcam” per firma elettronica qualificata o digitale e, a tal fine, prescrive alla Società istante, ai sensi dell’art. 17 del Codice:
– di esplicitare nell’informativa da fornire ai richiedenti, ai sensi dell’art. 13 del Codice, le modalità di riconoscimento alternative individuate al punto 4.1.2. del citato Manuale Operativo;
– di predisporre, per maggiore tutela e sicurezza dei dati, misure di cifratura per tutti i documenti e i file audio/video inviati in conservazione;
– di limitare la registrazione del flusso audio/video alla esibizione del documento di identità e all’interazione con l’operatore nella parte in cui viene documentata la reale volontà del richiedente di ottenere un certificato di firma digitale.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 24 settembre 2015